- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Развертывание сертификатов проверки подлинности в беспроводной сети
В этом разделе описаны задачи по настройке, которые нужно выполнить для активации автоматической подачи заявок на сертификаты клиентами, работающими под управлением ОС Windows XP. В предыдущих разделах рассматривалась настройка политик и шаблонов для поддержки автоматической подачи заявок на сертификаты в инфраструктуре сертификатов, но в ОС Windows XP поддержка этих функций по умолчанию отключена. Чтобы включить поддержку автоматической подачи заявок на сертификаты, нужно настроить соответствующие параметры с использованием групповой политики. Используя группы безопасности для контроля автоматической подачи заявок на сертификаты, эту функцию можно активировать для всех пользователей и компьютеров в домене. Группы безопасности при этом могут определять, кто получит сертификаты каждого типа.
Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
Зарегистрируйтесь в системе, используя учетную запись с разрешениями на создание объектов групповой политики (GPO) и связывание GPO с доменом.
Выберите в оснастке «Active Directory — пользователи и компьютеры» объект домена, щелкнув его правой кнопкой мыши, после чего выберите пункт «Свойства».
На вкладке «Групповая политика» нажмите кнопку «Создать», после чего введите имя GPO (например Domain PKI Policies).
Щелкните «Изменить» и найдите пункт «Политики открытых ключей» в разделе Computer Configuration\Windows Settings\Security Settings.
На панели «Сведения» дважды щелкните элемент «Параметры автоматической подачи заявок».
Убедитесь в том, что выбраны перечисленные ниже элементы.
Подавать заявки на сертификаты автоматически
Возобновлять сертификаты с истекшим сроком действия, обновлять сертификаты в состоянии ожидания и удалять отозванные сертификаты
Обновлять сертификаты, в которых используются шаблоны сертификатов
Повторите этапы 5 и 6 для пользовательских параметров автоматической подачи заявок на сертификаты в разделе User Configuration\Windows Settings\Security Settings\Public Key Policies.
Закройте объект групповой политики
Убедитесь в том, что этот объект групповой политики имеет более высокий приоритет, чем используемый по умолчанию объект групповой политики домена.
Если используется лес с несколькими доменами, повторите процесс для каждого домена, в котором будет включена автоматическая подача заявок на сертификаты.
Примечание. Если пользователи не используют перемещаемые профили, а автоматическая подача заявок на сертификаты разрешена во всей среде, сертификаты будут выдаваться пользователям при входе на каждый компьютер. При входе администраторов на серверы это может быть нежелательно. Чтобы это не происходило, рекомендуется создать для серверов объект групповой политики с целью отключения автоматической подачи заявок на сертификаты. Если нежелательно активировать автоматическую подачу заявок на сертификаты для всех пользователей, можно связать объект групповой политики с подразделениями, к которым относится подмножество пользователей, нуждающихся в автоматической подаче заявок.
Обеспечение доступа к беспроводной сети для пользователей и компьютеров
Заключительные этапы обеспечения защищенного доступа к беспроводной сети для пользователей и компьютеров включают несколько операций над объектами Active Directory. В число этих операций входят изменение разрешений учетных записей и разрешений групп и реализация параметров групповой политики беспроводной сети.
Добавление пользователей в группы политик удаленного доступа
В политике удаленного доступа службы проверки подлинности в Интернете группы безопасности, основанные на Active Directory, используются для определения того, разрешается ли пользователям и компьютерам устанавливать соединения с беспроводной сетью. В число этих групп безопасности, созданных в предыдущих разделах, входят:
Remote Access Policy — Wireless Users
Remote Access Policy — Wireless Computers
Remote Access Policy — Wireless Access
Чтобы добавить пользователей и компьютеры в группы доступа к беспроводной сети, выполните следующие действия.
Запустите оснастку консоли управления «Active Directory — пользователи и компьютеры».
Добавьте группы Remote Access Policy — Wireless Users и Remote Access Policy — Wireless Computers в группу Remote Access — Wireless Access.
Добавьте пользователей, которым разрешен доступ к беспроводной сети, в группу Remote Policy — Wireless Users.
Добавьте компьютеры, которым разрешен доступ к беспроводной сети, в группу Remote Policy — Wireless Computers.
Примечание. Если решено по умолчанию разрешить всем пользователям и компьютерам доступ к беспроводной сети, ради упрощения администрирования можно добавить группы пользователей домена и компьютеров домена в соответствующие группы политик.
Создание групповой политики беспроводной сети Active Directory
Для автоматизации настройки и применения конфигурационных параметров беспроводной сети на клиентских компьютерах можно использовать групповую политику. Это возможно благодаря тому, что консоль управления групповой политикой в ОС Windows Server 2003 содержит параметры политики беспроводной сети, основанные на стандартах 802.1X и 802.11.
Чтобы создать групповую политику беспроводной сети, выполните следующие действия.
Запустите оснастку консоли управления «Active Directory — пользователи и компьютеры» на сервере или рабочей станции под управлением ОС Windows Server 2003 с установленными инструментами администрирования Windows Server 2003.
Выберите свойства объекта домена, откройте вкладку «Групповая политика», щелкните «Создать» и назовите объект групповой политики Wireless Network Policy.
zrfНажмите кнопку «Свойства» и на вкладке «Безопасность» предоставьте группе безопасности Wireless Network Policy — Computer разрешения на чтение и применение групповой политики. Удалите в объекте групповой политики разрешения на применение групповой политики у группы пользователей, прошедших проверку подлинности.
На вкладке «Общие» задайте для объекта политики параметр «Отключить параметры конфигурации пользователя». Если появятся какие-либо предупреждения, выбирайте «Да». Примените изменения и закройте окно.
Нажмите кнопку «Изменить» и откройте раздел \Computer Configuration\Windows Settings\Security Settings\Wireless Network (IEEE 802.11) Policies.
Выберите на панели навигации объект «Политики беспроводной сети (IEEE 802.11)», после чего в меню «Действие» выберите пункт «Создать политику беспроводной сети». С помощью мастера назначьте политике имя Client Computer Wireless Configuration. Оставьте флажок «Изменить свойства» установленным и нажмите кнопку «Готово», чтобы закрыть окно мастера.
На вкладке «Сети и предпочтения» политики Client Computer Wireless Configuration выберите «Добавить», после чего введите имя беспроводной сети или ее идентификатор SSID.
Откройте вкладку IEEE 802.1X, а затем окно параметров для элемента «Смарт-карта или другой EAP-тип сертификата». В разделе «Доверенные корневые центры сертификации» выберите сертификат корневого центра сертификации для инфраструктуры открытого ключа, который выдал сертификаты серверам службы проверки подлинности в Интернете.
Закройте окно свойств политики «Client Computer Wireless Configuration» и редактор объектов групповой политики.
Примечание. Протокол WPA2 в настоящее время невозможно использовать с объектом групповой политики. Ожидается, что поддержка WPA2 на уровне объекта групповой политики будет реализована в ОС Windows Vista и Longhorn, а для нынешних версий ОС Windows будут выпущены соответствующие обновления.